一、概述
計算機網絡的功能
數據通信
資源共享
分布式處理
提高可靠性
負載均衡
計算機網絡采用的兩類通信方式:客戶-服務器方式(C/S)和對等連接方式(P2P)
電路交換特點:
通信前要先建立連接,通信完畢后釋放連接。一定要有三個階段:建立連接、通信、釋放連接。
通信過程中,通信雙方自始至終占用着所使用的物理信道。
分組交換特點:
分解交換采用存儲轉發技術,把報文划分為幾個分組后再進行傳送,沒有建立連接和釋放連接階段。
報文交換特點
報文交換也采用存儲轉發技術,但報文交換不再把報文分隔為更小的分組,而是把整個報文在網絡的結點中存儲下來,然后再轉發出去。
計算機網絡的分類
按分布范圍分類
廣域網(WAN)
城域網(MAN)
局域網(LAN)
個人區域網(PAN)
按網絡的使用者分類
公用網(public network)
專用網(private network)
按交換技術分類
電路交換網絡
報文交換網絡
分組交換網絡
計算機網絡的性能
1、速率
速率是計算機網絡中最重要的一個性能指標,指的是數據的傳送速率,它也稱為數據率 (data rate) 或比特率 (bit rate)。
速率的單位是 bit/s,或 kbit/s、Mbit/s、 Gbit/s等。
速率往往是指額定速率或標稱速率,非實際運行速率。
2、帶寬
在計算機網絡中,帶寬用來表示網絡中某通道傳送數據的能力。表示在單位時間內網絡中的某信道所能通過的“最高數據率”。單位是 bit/s,即 “比特每秒”。
3、吞吐量
吞吐量 (throughput) 表示在單位時間內通過某個網絡(或信道、接口)的數據量。
吞吐量更經常地用於對現實世界中的網絡的一種測量,以便知道實際上到底有多少數據量能夠通過網絡。
吞吐量受網絡的帶寬或網絡的額定速率的限制。
4、時延
時延 (delay 或 latency) 是指數據(一個報文或分組,甚至比特)從網絡(或鏈路)的一端傳送到另一端所需的時間。
有時也稱為延遲或遲延。
網絡中的時延由以下幾個不同的部分組成:
發送時延
也稱為傳輸時延。
發送數據時,數據幀從結點進入到傳輸媒體所需要的時間。
也就是從發送數據幀的第一個比特算起,到該幀的最后一個比特發送完畢所需的時間。 
傳播時延
電磁波在信道中需要傳播一定的距離而花費的時間。
發送時延與傳播時延有本質上的不同。
信號發送速率和信號在信道上的傳播速率是完全不同的概念。 
處理時延
主機或路由器在收到分組時,為處理分組(例如分析首部、提取數據、差錯檢驗或查找路由)所花費的時間。
排隊時延
分組在路由器輸入輸出隊列中排隊等待處理所經歷的時延。
排隊時延的長短往往取決於網絡中當時的通信量。
計算機網絡體系結構
網絡協議主要的三個要素
1)、語法
即數據與控制信息的結構或格式
2)、語義
即需要發出何種控制信息,完成何種動作以及做出何種相應
3)、同步
即事件實現順序的詳細說明
協議和服務關系
1、協議的實現保證了能夠向上一層提供服務。本層的服務用戶只能看見服務而無法看見下面的協議。下面的協議對上面的服務用戶是透明的。
2、協議是“水平的”,即協議是控制兩個對等實體進行通信的規則。但服務是“垂直的”,即服務是由下層通過層間接口向上層提供的。
網絡結構分層好處
各層之間是獨立的。靈活性好。結構上可分割開。易於實現和維護。能促進標准化工作。
網絡分層缺點
降低效率。有些功能會在不同的層次中重復出現,因而產生了額外開銷。
3、具有五層協議的體系結構
OSI 的七層協議體系結構的概念清楚,理論也較完整,但它既復雜又不實用。
TCP/IP 是四層體系結構:應用層、運輸層、網際層和網絡接口層。
但最下面的網絡接口層並沒有具體內容。
因此往往采取折中的辦法,即綜合 OSI 和 TCP/IP 的優點,采用一種只有五層協議的體系結構 。 
五層協議:應用層、運輸層、網絡層、數據鏈路層、物理層。
運輸層最重要的協議是TCP和UDP協議,而網絡層最重要的協議是IP協議。
習題
1-10
二、物理層
通信的三種基本方式
單向通信:又稱單工通信,即一個方向的通信沒有反方向。如無線廣播或有線電視廣播。
雙向交替通信:又稱半雙工通信,即通信雙方都可以發送信息,但不能同時發送(當然也就不能同時接受)。步話機,早期集線器。
雙向同時通信:又稱全雙工通信,即通信的雙方都可以同時發送和接受信息。
物理層特點
物理層要解決的問題,物理層的主要特點?
物理層要解決的主要問題:
物理層考慮的是怎樣才能連接各種計算機的傳輸媒體上傳輸數據比特流,而不是具體的傳輸媒體。物理層要盡可能地屏蔽掉物理設備和傳輸媒體,通信手段的不同,使數據鏈路層感覺不到這些差異,只考慮完成本層的協議和服務。
物理層的主要特點:
機械特性
電氣特性
功能特性
過程特性
傳輸媒體
可分為兩大類
導引型傳輸媒體(雙絞線、同軸電纜、光纖)
非導引型傳輸媒體(無線、微波、衛星通信)
信道復用技術
為什么使用信道復用技術?常用的信道復用技術有哪些?
為了通過共享信道、最大限度提高信道利用率。頻分、時分、碼分、波分。
碼分復用CDM
碼分多址CDMA
令向量 S 表示站 S 的碼片向量,令 T 表示其他任何站的碼片向量。
兩個不同站的碼片序列正交,就是向量 S 和T 的規格化內積 (inner product) 等於 0: 
任何一個碼片向量和該碼片向量自己的規格化內積都是 1 。
一個碼片向量和該碼片反碼的向量的規格化內積值是 –1。
2-16
寬帶接入技術
ADSL技術
非對稱數字用戶線ADSL
光纖同軸混合網HFC
試比較ADSL、HFC以及FTTx接入技術的優缺點?
答:使用ADSL技術最大的好處就是可以利用現有電話網中的用戶線,不需要重新布線。成本低,易實現。缺點就是對用戶線的質量有較高的要求,如果用戶住宅距離電話交換局較遠,或線路的噪聲較大,那么寬帶接入的速率就會適當地降低。
HFC網的最大的優點具有很寬的頻帶,並且能夠利用已經有相當大的覆蓋面的有線電視網。缺點是必須對現有的單向傳輸的有線電纜進行改造,變為可雙向通信的電纜。FTTx(光纖到……)光纖接入是解決寬帶接入最理想的方案,可提供最好的帶寬和質量、但現階段線路和工程成本太大。
奈氏准則和香農公式
比特/s和碼元/s的關系
比特/s是信息傳輸速率的單位碼元傳輸速率也稱為調制速率、波形速率或符號速率。一個碼元不一定對應於一個比特。在二進制編碼時一個碼元對應一個比特,根據編碼的不同,一個碼元可以對應於幾個比特,但也可以是幾個碼元對應於一個比特。
從概念上講,限制碼元在信道上的傳輸速率的因素有以下兩個:
信道能夠通過的頻率范圍
信噪比
1924 年,奈奎斯特 (Nyquist) 就推導出了著名的奈氏准則。他給出了在假定的理想條件下,為了避免碼間串擾,碼元的傳輸速率的上限值。
奈氏准則給出了碼元傳輸速率的限制,但並沒有對信息傳輸速率給出限制。
信噪比就是信號的平均功率和噪聲的平均功率之比。常記為S/N,並用分貝 (dB) 作為度量單位。即:
信噪比(dB) = 10 log10(S/N ) (dB)
例如,當S/N=10時,信噪比為10dB,而當S/N=1000時,信噪比為30dB。
信噪比是否可以任意提高?
在實際的傳輸環境中,信噪比不可能做到任意大。一方面,我們的信號功率是受限的(經濟問題、器件問題、材料的絕緣問題等等),而任何電子設備的噪聲也不能做到任意小
(任何電子設備都有其固有噪聲),因此在實際傳輸環境中,信噪比不可能做到任意大。
1984年,香農 (Shannon) 用信息論的理論推導出了帶寬受限且有高斯白噪聲干擾的信道的極限、無差錯的信息傳輸速率(香農公式)。
信道的極限信息傳輸速率 C 可表達為:
C = W log2(1+S/N) (bit/s)
其中:W 為信道的帶寬(以 Hz 為單位);
S 為信道內所傳信號的平均功率;
N 為信道內部的高斯噪聲功率。
香農公式表明
信道的帶寬或信道中的信噪比越大,則信息的極限傳輸速率就越高。
只要信息傳輸速率低於信道的極限信息傳輸速率,就一定可以找到某種辦法來實現無差錯的傳輸。
若信道帶寬 W 或信噪比 S/N 沒有上限(當然實際信道不可能是這樣的),則信道的極限信息傳輸速率 C 也就沒有上限。
實際信道上能夠達到的信息傳輸速率要比香農的極限傳輸速率低不少
2-07
2-09
三、數據鏈路層
數據鏈路(即邏輯鏈路)與鏈路(即物理鏈路)有何區別? “電路接通了”與”數據鏈路接通了”的區別何在?
鏈路(即物理鏈路)是從一個結點到相鄰結點的一段物理線路,數據鏈路則是在鏈路的基礎上增加了一些必要的硬件(如網絡適配器)和軟件(如協議的實現)。
“電路接通了”表示鏈路兩端的結點交換機已經開機,物理連接已經能夠傳送比特流了,但是,數據傳輸並不可靠,在物理連接基礎上,再建立數據鏈路連接,才是“數據鏈路接通了”,此后,由於數據鏈路連接具有檢測、確認和重傳功能,才使不太可靠的物理鏈路變成可靠的數據鏈路,進行可靠的數據傳輸。當數據鏈路斷開連接時,物理電路連接不一定跟着斷開連接。
數據鏈路層使用的信道主要有一下兩種類型
(1)點對點信道
(2)廣播信道
三個基本問題
數據鏈路層傳送的協議數據單位是幀,三個基本問題是封裝成幀、透明傳輸和差錯檢查
循環冗余校驗CRC
PPP協議
PPP協議特點
簡單 —— 這是首要的要求。
封裝成幀 —— 必須規定特殊的字符作為幀定界符。
透明性 —— 必須保證數據傳輸的透明性。
多種網絡層協議 —— 能夠在同一條物理鏈路上同時支持多種網絡層協議。
多種類型鏈路 —— 能夠在多種類型的鏈路上運行。
差錯檢測 —— 能夠對接收端收到的幀進行檢測,並立即丟棄有差錯的幀。
PPP協議不使用幀編號,因為幀的編號是為了出錯時可以有效地重傳,而PPP並不需要實現可靠傳輸。
PPP適用於線路質量並不太差的情況下。如果通信線路太差,傳輸就會頻頻出錯。但PPP又沒有編號和確認機制,這樣就必須靠上層的協議才能保證數據傳輸的正確無誤。這樣就使數據的傳輸效率降低。
局域網
局域網的主要特點是什么?為什么局域網采用廣播通信方式而廣域網不采用呢?
局域網最主要的特點是:網絡為一個單位所擁有,且地理范圍和站點數目均有限。在局域網剛剛出現時,局域網比廣域網具有更高的數據率,更低的時延和更小的誤碼率。但隨着光纖技術在廣域網中普遍使用,現在廣域網也具有很高的數據率和很低的誤碼率。
局域網的地理范圍較小,且為一個單位所擁有,采用廣播通信方式十分簡單方便。但廣域網地理范圍很大,如果采用廣播通信方式勢必造成通信資源的極大浪費,因此廣域網不采用廣播通信方式。
網絡適配器
網絡適配器的作用是什么?網絡適配器工作在哪一層?
適配器(即網卡)來實現數據鏈路層和物理層這兩層的協議的硬件和軟件網絡適配器工作在TCP/IP協議中的網絡接口層(OSI中的數據鏈路層和物理層)
以太網交換機
自學習功能
3-30
某學院的以太網交換機有三個接口分別和學院三個系的以太網相連,另外三個接口分別和電子郵件服務器、萬維網服務器以及一個連接互聯網的路由器相連。圖中的ABC都是100Mbit/s以太網交換機。假定所有的鏈路的速率都是100Mbit/s,並且圖中的9台主機中的任何一個都可以和任何一個服務器或主機通信。試計算這9台主機和兩個服務器產生的總的吞吐量的最大值。為什么?
答:這里的9台主機和兩個服務器都工作時的總吞吐量是900+200=1100Mbit/s。三個系各有一台主機分別訪問兩個服務器和通過路由器上網。其他主機在系內通信。
3-31假定所有的鏈路的速率都是100Mbit/s,但三個系的以太網交換機都換成100Mbit/s的集線器。試計算這9台主機和兩個服務器產生的總的吞吐量的最大值。為什么?
答:這里的每個系是一個碰撞域,其最大吞吐量為100 Mbit/s,總吞吐量是300+200=500 Mbit/s。
3-32假定所有的鏈路的速率都是100Mbit/s,但所有的以太網交換機都換成100Mbit/s的集線器。試計算這9台主機和兩個服務器產生的總的吞吐量的最大值。為什么?
答:現在整個系統是一個碰撞域,因此其最大吞吐量為100 Mbit/s。
3-34
有兩台主機A和B接在800m長的電纜線的兩端,並在t=0時各自向對方發送一個幀,長度為1500bit(包括首部和前同步碼)。假定在A和B之間有4個轉發器,在轉發幀時會產生20比特的時延。設傳輸速率為100 Mbit/s,而CSMA/CD的退避時間是隨機數r倍的爭用期,爭用期為512bit,在發生第一次碰撞后,在退避時A選擇r=0而B選擇r=1。忽略發生碰撞后的人為干擾信號和幀間最小間隔。
(1)設信號的傳播速率是2×108m/s。試計算從A到B(包括4個轉發器)的傳播時延。
(2)在什么時間(以秒為單位)B完全收到了A發送的幀?
(3)現在假定只有A發送幀,幀長仍為1500bit,但4個轉發器都用交換機來代替。交換機在進行存儲轉發時還要產生額外的20bit的處理時延。在什么時間B完全收到了A發送的幀?
答:
(1)從A到B(包括4個轉發器)的傳播時延
=800m/(2×108m/s)+4×20bit/(100×106bit/s)=4.8µs
(2)
在t=2.4us時,電纜中間發生碰撞
在t=4.8µs時,A和B都檢測出碰撞。A立即停止發送數據並等待一個端到端的傳播時間4.8us,然后A退避零個爭用期故直接發送數據,當A最后一個數據到達B時總共花費4.8us(AB檢測到碰撞)+4.8us(等待信道清空)+1500/(100*10^6)(傳輸幀的時間)+4.8us(傳輸時延)=29.4us
(3)數據到達交換機要進行存儲轉發,即每個交換機發送一次數據,加上初始端的發送一共發送了五次數據,即發送時延為5*1500/(100*10^6)=75us 加上4.8us的傳播時延,所以79.8us后B才能完全受到A發送的幀
四、網絡層
網絡層提供的兩種服務
1、面向連接服務(或虛電路服務)
2、無連接服務(或數據報服務)
網絡層向上只提供簡單靈活的、無連接的、盡最大努力交付的數據報服務。網絡層不提供服務質量的承諾,也就是說,所傳送的分組可能出錯、丟失、重復和失序(即不按序到達終點)
網絡層協議
網際協議IP:使用IP協議就可以把互連以后的計算機網絡看成是一個虛擬互連網絡,使參與互連的性能各異的網絡從用戶看起來好像是一個統一的網絡。網際協議IP是TCP/IP體系中兩個最主要的協議之一,與IP協議配套使用的還有四個協議。
地址解析協議ARP:用來把一個機器(主機或路由器)的IP地址轉換為相應的物理地址(或硬件地址)
逆地址解析協議RARP:和ARP相反,用來把一個機器(主機或路由器)的物理地址(或硬件地址)轉換為相應的IP地址。
網際控制報文協議ICMP:用來使主機或路由器報告差錯情況或提供有關異常情況的報告,這樣就可以更有效地轉發IP數據報和提高交付成功的機會。
IP地址
A類地址:網絡字段號為1字節,最前面的1位是0
B類地址:網絡字段號為2字節,最前面的2位是10
C類地址:網絡字段號為3字節,最前面的3位是110
D類地址:用於多播,最前面的4位是1110
E類地址:保留今后使用,最前面的4位是1111
IP地址特點:
(1)每一個IP地址都由網絡號和主機號兩部分組成。從這個意義上說,IP地址是一種分等級的地址結構。
(2)實際上IP地址是一種標記一個主機(或路由器)和一條鏈路的接口。換言之,IP地址並不僅僅指明一個主機,還指明了主機所連接到的網絡。
(3)按照互聯網的觀點,一個網絡是指具有相同網絡號net-id的主機的機會,因此,用轉發器或網橋連接起來的若干個局域網仍為一個網絡,因為這些局域網具有同樣的網絡號。具有不同網絡號的局域網必須使用路由器進行互連。
(4)在IP地址中,所有分配到網絡號的網絡(不管是范圍很小的局域網,還是可能覆蓋很大地理范圍的廣域網)都是平等的。
IP地址與硬件地址(MAC地址)的區別
物理地址是數據鏈路層和物理層使用的地址,而IP地址是網絡層和以上各層使用的地址,是一種邏輯地址。
子網掩碼
默認子網掩碼中1的位置和IP地址中的網絡號字段net-id正好對應
注意:根據之前的RFC 950文檔子網號不能全為1或0,但隨着無分類域間路由選擇CIDR的廣泛使用,現在全1和全0的子網號也可以使用了。
4-09
(1)子網掩碼為255.255.255.0代表什么意思?
答:有三種含義:
其一是一個A類網的子網掩碼,對於A類網絡的IP地址,前8位表示網絡號,后24位表示主機號,使用子網掩碼255.255.255.0表示前8位為網絡號,中間16位用於子網段的划分,最后8位為主機號。
第二種情況為一個B類網,對於B類網絡的IP地址,前16位表示網絡號,后16位表示主機號,使用子網掩碼255.255.255.0表示前16位為網絡號,中間8位用於子網段的划分,最后8位為主機號。
第三種情況為一個C類網,這個子網掩碼為C類網的默認子網掩碼。
(2)一網絡的現在掩碼為255.255.255.248,問該網絡能夠連接多少個主機?
答:255.255.255.248即11111111.11111111.11111111.11111000。
掩碼位數29,每一個子網上的主機為(2^3)=8台
理論上該網絡能夠連接8個主機,但是扣除全1和全0的情況后,該網絡實際上能夠連接6個主機。
(3)一A類網絡和一B網絡的子網號subnet-id分別為16個1和8個1,問這兩個子網掩碼有何不同?
答:A類網絡:11111111 11111111 11111111 00000000
給定子網號(16位“1”)則子網掩碼為255.255.255.0
B類網絡:11111111 11111111 11111111 00000000
給定子網號(8位“1”)則子網掩碼為255.255.255.0
可見這兩個網絡的子網掩碼一樣,但它們的子網數目不同。
(4)一個B類地址的子網掩碼是255.255.240.0。試問在其中每一個子網上的主機數最多是多少?
答:IP地址的第3個字節是(240)10=(128+64+32+16)10=(11110000)2
B類地址的子網掩碼是:11111111.11111111.11110000.00000000
主機號的位數為4+8=12,因此,最大主機數為:2^12-2=4096-2=4094個。
(5)一A類網絡的子網掩碼為255.255.0.255;它是否為一個有效的子網掩碼?
答:A類網絡的子網掩碼為11111111 11111111 00000000 11111111
他是一個有效的子網掩碼,但不推薦這樣使用,因為子網中的1不是連續的。
(6)某個IP地址的十六進制表示C2.2F.14.81,試將其轉化為點分十進制的形式。這個地址是哪一類IP地址?
答: C2 2F 14 81=(12*16+2).(2*16+15).(16+4).(8*16+1)=194.47.20.129
C2 2F 14 81=11000010.00101111.00010100.10000001
前3位是110,所以這個地址是C類地址。
(7)C類網絡使用子網掩碼有無實際意義?為什么?
答:有實際意義。C類子網IP地址的32位中,前24位用於確定網絡號,后8位用於確定主機號。如果划分子網,可以選擇后8位中的高位,這樣做可以進一步划分網絡,並且不增加路由表的內容,但是代價是主機數量減少。
4-20
設某路由器建立了如下路由表:
目的網絡 子網掩碼 下一跳
128.96.39.0 255.255.255.128 接口m0
128.96.39.128 255.255.255.128 接口m1
128.96.40.0 255.255.255.128 R2
192.4.153.0 255.255.255.192 R3
*(默認) —— R4
現共收到5個分組,其目的地址分別為:
(1)128.96.39.10
(2)128.96.40.12
(3)128.96.40.151
(4)192.4.153.17
(5)192.4.153.90
試分別計算其下一跳。
答:(1)分組的目的站IP地址為:128.96.39.10。先與子網掩碼255.255.255.128相與,得128.96.39.0,可見該分組經接口m0轉發。
(2)分組的目的IP地址為:128.96.40.12。
① 與子網掩碼255.255.255.128相與得128.96.40.0,不等於128.96.39.0。
② 與子網掩碼255.255.255.128相與得128.96.40.0,經查路由表可知,該項分組經R2轉發。
(3)分組的目的IP地址為:128.96.40.151,與子網掩碼255.255.255.128相與后得128.96.40.128,與子網掩碼255.255.255.192相與后得128.96.40.128,經查路由表知,該分組轉發選擇默認路由,經R4轉發。
(4)分組的目的IP地址為:192.4.153.17。與子網掩碼255.255.255.128相與后得192.4.153.0。與子網掩碼255.255.255.192相與后得192.4.153.0,經查路由表知,該分組經R3轉發。
(5)分組的目的IP地址為:192.4.153.90,與子網掩碼255.255.255.128相與后得192.4.153.0。與子網掩碼255.255.255.192相與后得192.4.153.64,經查路由表知,該分組轉發選擇默認路由,經R4轉發。
網絡前綴
CIDR 把網絡前綴都相同的連續的 IP 地址組成“CIDR 地址塊”。
128.14.32.0/20 表示的地址塊共有 212 個地址(因為斜線后面的 20 是網絡前綴的位數,所以這個地址的主機號是 12 位)。
這個地址塊的起始地址是 128.14.32.0。
在不需要指出地址塊的起始地址時,也可將這樣的地址塊簡稱為“/20 地址塊”。
128.14.32.0/20 地址塊的最小地址:128.14.32.0
128.14.32.0/20 地址塊的最大地址:128.14.47.255
全 0 和全 1 的主機號地址一般不使用。
距離向量算法
路由器收到相鄰路由器(其地址為 X)的一個 RIP 報文:
(1) 先修改此 RIP 報文中的所有項目:把“下一跳”字段中的地址都改為 X,並把所有的“距離”字段的值加 1。
(2) 對修改后的 RIP 報文中的每一個項目,重復以下步驟:
若項目中的目的網絡不在路由表中,則把該項目加到路由表中。
否則
若下一跳字段給出的路由器地址是同樣的,則把收到的項目替換原路由表中的項目。
否則
若收到項目中的距離小於路由表中的距離,則進行更新,
否則,什么也不做。
(3) 若 3 分鍾還沒有收到相鄰路由器的更新路由表,則把此相鄰路由器記為不可達路由器,即將距離置為 16(表示不可達)。
(4) 返回。
4-41
假定網絡中的路由器B的路由表有如下的項目(這三列分別表示“目的網絡”、“距離”和“下一跳路由器”)
N1 7 A
N2 2 B
N6 8 F
N8 4 E
N9 4 F
現在B收到從C發來的路由信息(這兩列分別表示“目的網絡”“距離”):
N2 4
N3 8
N6 4
N8 3
N9 5
試求出路由器B更新后的路由表(詳細說明每一個步驟)。
答:先把收到的路由信息中的“距離”加1:
N2 5
N3 9
N6 5
N8 4
N9 6
路由器B更新后的路由表如下:
N1 7 A 無新信息,不改變
N2 5 C 相同的下一跳,更新
N3 9 C 新的項目,添加進來
N6 5 C 不同的下一跳,距離更短,更新
N8 4 E 不同的下一跳,距離一樣,不改變
N9 4 F 不同的下一跳,距離更大,不改變
IPv6
從IPV4過渡到IPV6的方法有哪些?
答:由於現在整個互聯網上使用IPV4的路由器數量太大,向IPV6過渡只能采用逐步演進的辦法,同時,還必須使新安裝的IPV6系統能夠向后兼容。
下面介紹兩種向IPV6過渡的策略,即使用雙協議棧和隧道技術。
雙協議棧是指在完全過渡到IPV6之前,使一部分主機裝有兩個協議棧,因此雙協議棧主機既能夠和IPV6的系統通信,又能夠和IPV4的系統通信。
隧道技術的要點是在IPV6數據報要進入IPV4網絡時,把IPV6數據報封裝成為IPV4數據報。然后,IPV6數據報就在IPV4網絡的隧道中傳輸。當IPV4數據報離開IPV4網絡中的隧道時再把數據部分交給主機的IPV6協議棧。
五、運輸層
進程之間的通信
從通信和信息處理的角度看,運輸層向它上面的應用層提供通信服務,它屬於面向通信部分的最高層,同時也是用戶功能中的最低層。只有位於網絡邊緣部分的主機的協議棧才有運輸層,而網絡核心部分中的路由器在轉發分組時都只用到下三層的功能。
從網絡層來說,通信的兩端是兩台主機。IP數據報的首部明確標志了這兩台主機的IP地址。但“兩個主機之間的通信”這種說法還不夠清楚。這是因為,真正進行通信的實體是在主機中的進程,是這個主機中的一個進程和另一個主機中的一個進程在交換數據(即通信)。因此嚴格來說,兩個主機進行通信就是兩個主機中的應用進程相互通信。IP協議雖然能把分組送到目的主機,但是這個分組還停留在主機的網絡層而沒有交付給主機的應用進程。從運輸層的角度看,通信的真正端點並不是主機而是主機的進程。也就是說,端到端的通信時應用進程之間的通信。因此,運輸層是必不可少的。
所以運輸層的通信和網絡層的通信有很大的區別。網絡層提供主機之間的邏輯通信,而運輸層則提供應用進程之間的邏輯通信。
運輸層還有復用、分用的功能,還要對收到的報文進行差錯檢查。
運輸層向高層用戶屏蔽了下面網絡核心的細節(如網絡拓撲、所采用的路由選擇協議等),它使應用進程看見的就好像是在兩個運輸層實體之間有一條端到端的邏輯通信信道。當運輸層采用面向連接的TCP協議時,盡管下面的網絡是不可靠的,但這種邏輯通信信道就相當於一條全雙工的可靠信道。但當運輸層采用無連接的UDP協議時,這種邏輯通信信道仍然是一條不可靠信道。
當應用程序使用面向連接的TCP和無連接的IP時,這種傳輸是面向連接的還是無連接的?
這要在不同層次來看。在運輸層是面向連接的,而網絡層則是無連接的。
運輸層的兩個主要協議
(1)用戶數據報協議UDP(User Datagram Protocol)無連接
(2) 傳輸控制協議TCP(Transmission Control Protocol)面向連接
TCP 傳送的數據單位協議是 TCP 報文段(segment)。
UDP 傳送的數據單位協議是 UDP 報文或用戶數據報。
運輸層的 UDP 用戶數據報與網際層的IP數據報有很大區別。
(1)IP 數據報要經過互連網中許多路由器的存儲轉發。
(2)UDP 用戶數據報是在運輸層的端到端抽象的邏輯信道中傳送的。
TCP 報文段是在運輸層抽象的端到端邏輯信道中傳送,這種信道是可靠的全雙工信道。但這樣的信道卻不知道究竟經過了哪些路由器,而這些路由器也根本不知道上面的運輸層是否建立了 TCP 連接。
UDP的特點
UDP 是無連接的,發送數據之前不需要建立連接,,因此減少了開銷和發送數據之前的時延。
UDP 使用盡最大努力交付,即不保證可靠交付,因此主機不需要維持復雜的連接狀態表。
UDP 是面向報文的。UDP 對應用層交下來的報文,既不合並,也不拆分,而是保留這些報文的邊界。UDP 一次交付一個完整的報文。
UDP 沒有擁塞控制,因此網絡出現的擁塞不會使源主機的發送速率降低。這對某些實時應用是很重要的。很適合多媒體通信的要求。
UDP 支持一對一、一對多、多對一和多對多的交互通信。
UDP 的首部開銷小,只有 8 個字節,比 TCP 的 20 個字節的首部要短。
TCP的特點
TCP 是面向連接的運輸層協議。
每一條 TCP 連接只能有兩個端點 (endpoint),每一條 TCP 連接只能是點對點的(一對一)。
TCP 提供可靠交付的服務。
TCP 提供全雙工通信。
面向字節流
TCP 中的“流”(stream) 指的是流入或流出進程的字節序列。
“面向字節流”的含義是:雖然應用程序和 TCP 的交互是一次一個數據塊,但 TCP 把應用程序交下來的數據看成僅僅是一連串無結構的字節流。
運輸層的端口
端口是用來標志進程的。端口也就是協議端口號。
在協議棧層間的抽象的協議端口是軟件端口。
路由器或交換機上的端口是硬件端口。
硬件端口是不同硬件設備進行交互的接口,而軟件端口是應用層的各種協議進程與運輸實體進行層間交互的一種地址。
不同的系統,具體實現端口的方法可以是不同的。
端口用一個 16 位端口號進行標志,允許有65,535個不同的端口號。
端口號只具有本地意義,即端口號只是為了標志本計算機應用層中的各進程。在互聯網中,不同計算機的相同端口號是沒有聯系的。
兩大類三種接口
服務器端使用的端口號
熟知端口,數值一般為 0 ~ 1023。
登記端口號,數值為 1024 ~ 49151,為沒有熟知端口號的應用程序使用的。使用這個范圍的端口號必須在 IANA 登記,以防止重復。
客戶端使用的端口號
又稱為短暫端口號,數值為 49152 ~ 65535,留給客戶進程選擇暫時使用。
當服務器進程收到客戶進程的報文時,就知道了客戶進程所使用的動態端口號。通信結束后,這個端口號可供其他客戶進程以后使用。 
停止等待協議
“停止等待”就是每發送完一個分組就停止發送,等待對方的確認。在收到確認后再發送下一個分組。
全雙工通信的雙方既是發送方也是接收方。
為了討論問題的方便,我們僅考慮 A 發送數據,而 B 接收數據並發送確認。因此 A 叫做發送方,而 B 叫做接收方。
TCP傳輸
MSS (Maximum Segment Size)是 TCP 報文段中的數據字段的最大長度。數據字段加上 TCP 首部才等於整個的 TCP 報文段。所以,MSS是“TCP 報文段長度減去 TCP 首部長度”。
5-22
5-23
5-28
超時重傳的時間選擇
TCP擁塞控制方法
為了進行擁塞控制,TCP的發送方要維持一個擁塞窗口cwnd的狀態變量。擁塞窗口的大小取決於網絡的擁塞程度,並且動態地變化。發送方讓自己的發送窗口取為擁塞窗口和接收方的接受窗口中較小的一個。
擁塞控制采用的四種算法即慢開始、擁塞避免、快重傳和快恢復。
https://www.cnblogs.com/wkfvawl/p/12813103.html
流量控制和擁塞控制區別
擁塞控制
防止過多的數據注入到網絡中,使網絡中的路由器或鏈路不致過載;
是一個全局性的過程,涉及到與降低網絡傳輸性能有關的所有因素。
流量控制
抑制發送端發送數據的速率,以使接收端來得及接收;
是點對點通信量的控制,是端到端的問題;
六、應用層
域名系統
域名系統的主要功能是什么?域名系統中的本地域名服務器、根域名服務器、頂級域名服務器以及權限域名權服務器有何區別?
答:域名系統DNS的主要功能:將域名解析為主機能識別的IP地址。在域名系統中使用了層次結構的許多域名服務器。域名服務器分為根域名服務器、頂級域名服務器、權限域名服務器和本地域名服務器。
根域名服務器是最高層次的域名服務器,也是最重要的域名服務器。所有的根域名服務器都知道所有的頂級域名服務器的域名和 IP 地址。
不管是哪一個本地域名服務器,若要對互聯網上任何一個域名進行解析,只要自己無法解析,就首先求助於根域名服務器。
在互聯網上共有 13 個不同 IP 地址的根域名服務器,它們的名字是用一個英文字母命名,從 a 一直到 m(前 13 個字母)。
頂級域名服務器(即 TLD 服務器)負責管理在該頂級域名服務器注冊的所有二級域名。
當收到 DNS 查詢請求時,就給出相應的回答(可能是最后的結果,也可能是下一步應當找的域名服務器的 IP 地址)。
權限域名服務器負責一個區的域名服務器。
當一個權限域名服務器還不能給出最后的查詢回答時,就會告訴發出查詢請求的 DNS 客戶,下一步應當找哪一個權限域名服務器。
本地域名服務器對域名系統非常重要。
當一個主機發出 DNS 查詢請求時,這個查詢請求報文就發送給本地域名服務器。
每一個互聯網服務提供者 ISP,或一個大學,甚至一個大學里的系,都可以擁有一個本地域名服務器,
這種域名服務器有時也稱為默認域名服務器。
域名解析過程
主機向本地域名服務器的查詢一般都是采用遞歸查詢。如果主機所詢問的本地域名服務器不知道被查詢域名的 IP 地址,那么本地域名服務器就以 DNS 客戶的身份,向其他根域名服務器繼續發出查詢請求報文。
本地域名服務器向根域名服務器的查詢通常是采用迭代查詢。當根域名服務器收到本地域名服務器的迭代查詢請求報文時,要么給出所要查詢的 IP 地址,要么告訴本地域名服務器:“你下一步應當向哪一個域名服務器進行查詢”。然后讓本地域名服務器進行后續的查詢。
文件傳輸協議
FTP
文件傳送協議 FTP (File Transfer Protocol) 是互聯網上使用得最廣泛的文件傳送協議。
FTP 提供交互式的訪問,允許客戶指明文件的類型與格式,並允許文件具有存取權限。
FTP 屏蔽了各計算機系統的細節,因而適合於在異構網絡中任意計算機之間傳送文件。
文件傳送協議 FTP 只提供文件傳送的一些基本的服務,它使用 TCP 可靠的運輸服務。
FTP 的主要功能是減少或消除在不同操作系統下處理文件的不兼容性。
FTP 使用客戶服務器方式。一個 FTP 服務器進程可同時為多個客戶進程提供服務。FTP 的服務器進程由兩大部分組成:一個主進程,負責接受新的請求;另外有若干個從屬進程,負責處理單個請求。
主進程的工作步驟如下:
打開熟知端口(端口號為 21),使客戶進程能夠連接上。
等待客戶進程發出連接請求。
啟動從屬進程來處理客戶進程發來的請求。從屬進程對客戶進程的請求處理完畢后即終止,但從屬進程在運行期間根據需要還可能創建其他一些子進程。
回到等待狀態,繼續接受其他客戶進程發來的請求。主進程與從屬進程的處理是並發地進行。
服務器端有兩個從屬進程:控制進程和數據傳送進程。在客戶端除了控制進程和數據傳輸 進程外,還有一個用戶界面進程來和用戶接口。
控制連接在整個會話期間一直保持打開,FTP 客戶發出的傳送請求通過控制連接發送給服務器端的控制進程,但控制連接不用來傳送文件。
實際用於傳輸文件的是“數據連接”。服務器端的控制進程在接收到 FTP 客戶發送來的文件傳輸請求后就創建“數據傳送進程”和“數據連接”,用來連接客戶端和服務器端的數據傳送進程。
數據傳送進程實際完成文件的傳送,在傳送完畢后關閉“數據傳送連接”並結束運行。
簡單文件傳送協議TFTP
TFTP (Trivial File Transfer Protocol) 是一個很小且易於實現的文件傳送協議。
TFTP 使用客戶服務器方式和使用 UDP 數據報,因此 TFTP 需要有自己的差錯改正措施。
TFTP 只支持文件傳輸而不支持交互。
TFTP 沒有一個龐大的命令集,沒有列目錄的功能,也不能對用戶進行身份鑒別。
超文本傳輸協議HTTP
HTTP的特點
HTTP 使用了面向連接的 TCP 作為運輸層協議,保證了數據的可靠傳輸。
HTTP 協議本身也是無連接的,雖然它使用了面向連接的 TCP 向上提供的服務。
HTTP 是面向事務的客戶服務器協議。
HTTP 1.0 協議是無狀態的 (stateless)。
請求一個萬維網文檔所需的時間是該文檔的傳輸時間(與文檔大小成正比)加上兩倍往返時間RTT(一個RTT用於連接TCP連接,另一個RTT用於請求和接收萬維網文檔)。TCP建立連接的三報文握手的第三個報文段中的數據,就是客戶對萬維網文檔的請求報文)。
電子郵件
電子郵件系統的三個主要構成部件:用戶代理、郵件服務器,以及郵件發送協議(如SMTP)和郵件讀取協議(如POP3)
用戶代理 UA 就是用戶與電子郵件系統的接口,是電子郵件客戶端軟件。
用戶代理的功能:撰寫、顯示、處理和通信。
郵件服務器的功能是發送和接收郵件,同時還要向發信人報告郵件傳送的情況(已交付、被拒絕、丟失等)。
郵件服務器按照客戶 - 服務器方式工作。郵件服務器需要使用發送和讀取兩個不同的協議。
如果沒有用戶代理UA,那么對於要用電子郵件的用戶來說就很不方便。因為上面所說的UA的功能,就要由用戶自己編程來實現。
郵件發送和讀取使用不同的協議協議。
簡單郵件發送協議 SMTP:用於在用戶代理向郵件服務器或郵件服務器之間發送郵件。
郵局協議 POP3:用於用戶代理從郵件服務器讀取郵件。
現在常用的郵件讀取協議有兩個,即郵局協議POP3和網際報文存取協議IMAP(Internet Message Access Protocol)
POP3 使用客戶–服務器方式。
POP3 基於TCP實現客戶與服務器的通信。
POP3 支持用戶鑒別。
POP3 服務器刪除被用戶讀取了的郵件。
IMAP 使用客戶–服務器方式。
IMAP 基於TCP實現客戶與服務器的通信。
IMAP是一個聯機協議。
IMAP協議特點
連接后只下載郵件首部(部分下載)。
用戶直接在IMAP服務器上創建和管理文件夾。
用戶可以搜索郵件內容。
用戶可以在不同的地方使用不同的計算機隨時上網閱讀和處理自己的郵件。
允許收信人只讀取郵件中的某一個部分。
缺點:要想查閱郵件,必須先聯網。
動態主機配置協議DHCP
互聯網廣泛使用的動態主機配置協議 DHCP (Dynamic Host Configuration Protocol) 提供了即插即用連網 (plug-and-play networking) 的機制。
提供了即插即用聯網機制。
這種機制允許一台計算機加入新的網絡和獲取 IP 地址,而不用手工配置。
DHCP給運行服務器軟件、且位置固定的計算機指派一個永久地址,給運行客戶端軟件的計算機分配一個臨時地址。
當一台計算機第一次運行引導程序時,ROM中並沒有該計算機的IP地址、子網掩碼,或某個域名服務器的IP地址的任何一個。
簡單網絡管理協議SNMP
簡單網絡管理協議SNMP (Simple Network Management Protocol) 中的管理程序和代理程序按客戶–服務器方式工作。
管理程序運行 SNMP 客戶程序,向某個代理程序發出請求(或命令),代理程序運行 SNMP 服務器程序,返回響應(或執行某個動作)。
在網管系統中,往往是一個(或少數幾個)客戶程序與很多的服務器程序進行交互。
SNMP使用無連接的UDP(要發送數據時不需要有鏈接建立過程,數據發送完畢后,也不需要鏈接釋放過程),因此在網絡上傳送SNMP報文的開銷較小,但UDP是不保證可靠交付的,有丟失的可能。好在SNMP使用周期性地發送探詢報文段的方法,來對網絡資源進行實時監視,如果丟失一個探尋報文,則經過一段時間后,會再發送一個,這樣就比TCP要快速許多。
P2P應用
七、網絡安全
安全性威脅
被動攻擊
指攻擊者從網絡上竊聽他人的通信內容。通常把這類攻擊稱為截獲。
在被動攻擊中,攻擊者只是觀察和分析某一個協議數據單元 PDU,以便了解所交換的數據的某種性質。但不干擾信息流。
這種被動攻擊又稱為流量分析 (traffic analysis)。
主動攻擊
主要有:
篡改——故意篡改網絡上傳送的報文。這種攻擊方式有時也稱為更改報文流。
惡意程序——種類繁多,對網絡安全威脅較大的主要包括:計算機病毒、計算機蠕蟲、特洛伊木馬、邏輯炸彈、后門入侵、流氓軟件等。
拒絕服務——指攻擊者向互聯網上的某個服務器不停地發送大量分組,使該服務器無法提供正常服務,甚至完全癱瘓。
對於主動攻擊,可以采取適當措施加以檢測。
對於被動攻擊,通常卻是檢測不出來的。
根據這些特點,可得出計算機網絡通信安全的目標:
- 防止分析出報文內容和流量分析。
- 防止惡意程序。
- 檢測更改報文流和拒絕服務。
對付被動攻擊可采用各種數據加密技術。
對付主動攻擊則需將加密技術與適當的鑒別技術相結合。
重放攻擊:指攻擊者對某個連接中通過PDU進行各種處理。如有選擇地更改、刪除、延遲這些PDU(當然也包括記錄和復制它們),還可在稍后的時間將以前錄下的PDU插入這個連接。
訪問控制:對接入網絡的權限加以控制,並規定每個用戶的接入權限
流量分析:攻擊者通過觀察PDU的協議控制信息部分,了解正在通信的協議實體的地址和身份,研究PDU的長度和傳輸頻度,以便了解所交換的數據的某種性質。
兩類密碼體制
對稱秘鑰密碼體制
所謂常規密鑰密碼體制,即加密密鑰與解密密鑰是相同的密碼體制。
這種加密系統又稱為對稱密鑰系統。
數據加密標准DES屬於對稱秘鑰密碼體制。
DES的保密性僅取決於對密鑰的保密,而算法是公開的。
公鑰密碼體制
公鑰密碼體制(又稱為公開密鑰密碼體制)使用不同的加密密鑰與解密密鑰,是一種“由已知加密密鑰推導出解密密鑰在計算上是不可行的”密碼體制。
在公鑰密碼體制中,加密密鑰 PK(public key,即公鑰)是向公眾公開的,而解密密鑰 SK(secret key,即私鑰或秘鑰)則是需要保密的。
加密算法 E 和解密算法 D 也都是公開的。
雖然私鑰 SK 是由公鑰 PK 決定的,但卻不能根據 PK 計算出 SK。
公開密鑰和對稱秘鑰在使用通信信道方面有很大的不同。在使用對稱密鑰時,由於雙方使用同樣的密鑰,因此在通信信道上可以進行一對一的雙向保密通信,每一方既可用此密鑰加密明文,並發送給對方,也可接收密文,用同一密鑰對密文解密。這種保密通信僅限於持有此密鑰的雙方(如再有第三方就不保密了)。
在使用公開密鑰時,在通信信道上可以是多對一的單向保密通信。
數字簽名
用於證明真實性。
數字簽名必須保證以下三點:
- 報文鑒別——接收者能夠核實發送者對報文的簽名(證明來源);
- 報文的完整性——發送者事后不能抵賴對報文的簽名(防否認);
- 不可否認——接收者不能偽造對報文的簽名(防偽造)。
現在已有多種實現各種數字簽名的方法。但采用公鑰算法更容易實現。
公鑰私鑰關系:
私鑰簽名,公鑰驗證;公鑰加密,私鑰解密
網絡層安全協議
防火牆
防火牆是由軟件、硬件構成的系統,是一種特殊編程的路由器,用來在兩個網絡之間實施訪問控制策略。
訪問控制策略是由使用防火牆的單位自行制訂的,為的是可以最適合本單位的需要。
防火牆內的網絡稱為“可信的網絡”(trusted network),而將外部的互聯網稱為“不可信的網絡”(untrusted network)。
防火牆可用來解決內聯網和外聯網的安全問題。
防火牆的功能有兩個:阻止和允許。
“阻止”就是阻止某種類型的通信量通過防火牆(從外部網絡到內部網絡,或反過來)。
“允許”的功能與“阻止”恰好相反。
防火牆必須能夠識別各種類型的通信量。不過在大多數情況下防火牆的主要功能是“阻止”。
防火牆技術分為:
網絡級防火牆,用來防止整個網絡出現外來非法入侵(屬於這類的有分組過濾和授權服務器)
應用級防火牆,用來進行訪問控制(用應用網關或代理服務器來區分各種應用)